About time information flows in computer systems.pdf Случаи возникновения информационных потоков по времени, описанные в работе[1], охватывают множество возможностей их реализации в реальных компьютерныхсистемах (КС), но не всегда полно отражают действительность. Ниже приводятся примерыновых видов информационных потоков по времени в таких КС, как операционнаясистема (ОС) GNU/Linux и система управления базами данных (СУБД) MySQL.Для реализации информационного потока по времени в ОС GNU/Linux используетсявиртуальная файловая система proc. Особенностью proc является то, что информацияо действиях одного процесса может отображаться в файлах, доступных длячтения процессам, запущенным от имени других пользователей. Например, пусть имеютсядва процесса (Pi и Р2) с идентификаторами pid1 и pid2 соответственно и пустьпроцесс Р2 имеет право чтения файла /proc/pid1/status. В этом файле, в частности,отображается количество нитей (threads), которыми оперирует процесс Pi . При созданиилибо удалении процессом Pi нити информация об этом будет заноситься ядром ОСGNU/Linux в файл /proc/pid1/status. Читая данный файл, процесс Р2 может получитьданные от процесса Pi. На первый взгляд может показаться, что данный способреализации информационного потока по времени подпадает под уже описанные в рамкахДП-моделей случаи, но это не так. Существенной особенностью приведенного вышепримера является то, что при создании нити процесс Pi не осуществляет никаких обращенийк файловой системе, а данные в файл /proc/pid1/status записывает ядро ОС.Таким образом, Pi может вообще не иметь никаких прав доступа в файловой системе,но тем не менее информационный поток по времени может быть реализован. Стоитуточнить, что реализация proc в ОС GNU/Linux такова, что пользователь, от именикоторого запущен Pi , хоть и является владельцем файла /proc/pid1/status, но тем неменее не может менять права доступа к нему и не может открыть этот файл на запись.Для предотвращения возможности реализации подобного информационного потокапо времени может быть использовано средство SELinux, позволяющее наложитьдополнительные ограничения на стандартную политику безопасности GNU/Linux изапретить чтение файла /proc/pid1/status всем процессам, кроме РьВ случае СУБД MySQL аналогичная ситуация возникает, когда некоторый пользовательосуществляет запросы к базе данных (БД).Ядро СУБД ведет статистику околичестве и типах запросов, об объеме принятых и переданных данных и некоторыхдругих параметрах. Например, при всяком запросе пользователя show databases; ядроСУБД будет увеличивать текущее значение счетчика подобных запросов на единицу.Стоит отметить, что даже пользователь с минимальными правами в БД можеттем или иным образом влиять на параметры, статистику о которых ведет ядро СУБД.С помощью запроса show status; пользователи системы могут получить полный отчето накопленной статистике и увидеть текущие значения параметров, в том числеколичество определенных запросов всех пользователей системы. Таким образом, одинпользователь БД может передать данные другому пользователю, лишь совершая запросык БД, разрешенные ему политикой безопасности, причем второй пользовательможет не иметь никаких прав доступа к таблицам БД, с которыми работает первыйпользователь.Оба приведенных примера объединяет то, что информационные потоки по времени,возникающие в результате осуществления описанных действий, реализуются засчет отображения ядром системы информации о ее функционировании в сущностях,к которым субъекты системы непосредственно не получали доступ. Ядро системы самозаносит данные о действиях субъектов в доступные на чтение другим субъектамсущности, причем первые могут и не иметь никаких прав доступа к данным сущностям.В связи с обнаружением информационных потоков по времени нового типа возникаетнеобходимость учета данных потоков при анализе защищенности КС. В рамкахсемейства ДП-моделей возможно введение нового вида ассоциированных сущностей,указывающих на возможность реализации к ним информационных потоков по временив зависимости от выполняемых субъектом действий. Кроме того, возможно введениеновых правил преобразований, а также формулировка и обоснование необходимых идостаточных условий возможности реализации информационных потоков по временимежду сущностями КС.

Скачать электронную версию публикации